Web uygulamalarının güvenliğindeki pek çok açık, uçtaki kullanıcı ile sunucu arasına girmeyi gerektiriyor. Bu nedenle web‘in tamamına HTTPS bağlantısı vermek, olası pek çok saldırının gündemden düşmesiyle sonuçlanır. TLS, iki uç arasında, uçtaki kullanıcının başka kimse tarafından okunmadığına güvenebileceği (sunucuya güvendiği kadar) bir bağlantı oluşturuyor. Daha önce HTTPS/SSL protokolü içerisinde kullanılan yöntemler TLS adında (Transport Layer Security) tüm internette kullanılabilecek bir yapıya kavuşturulmuş. Artık IMAP gibi Web‘e ait olmayan protokoller de TLS ile birleştirilerek (IMAPS) güvenli halleri oluşturulabiliyor.
EFF (Electronic Frontier Foundation) 2009 yılında web‘in tamamını şifreleme hedefiyle (“Encrypt the Web”) yola çıkmış. Başlangıçta halkın NSA gözetlemesinden korunması hedefiyle yola çıksa da güvenlik açısından sonuçları çok daha geniş bir proje bu. Bunun için başlangıçta önemli sunucuların hepsiyle temasa geçip güvenliklerini arttırmaları ve TLS bağlantısını çeşitli düzeylerde vermeleri için ikna turlarına başlamışlar. Ön tanımlı TLS bağlantısını vermekten TLS‘i zorunlu koşmaya kadar birkaç boyutta pek çok sunucuyu ikna etmişler. Google, LinkedIn, Facebook, Microsoft, Dropbox, Twitter, Yahoo! ve WordPress’le hazırlanmış siteleri de içeren sunucu listesi zaten şimdiden web‘in önemli bir kısmını içermiş durumda.
“Encrypt the Web” projesi iki kritik yazılımla tamamlanıyor. Bunlardan birincisi “HTTPS Everywhere” adlı tarayıcı eklentisi. Bu akıllı eklenti sunucuların sunuş şekillerini inceleyip her bağlantı isteğini olası en güvenli eşleniğine çekiyor. Ama asıl çarpıcı projeleri “Let’s Encrypt” isimli sunucu, yazılım ve sertifika otoritesi. Bu üçlü, isteyen web sitesine gayet zahmetsiz ve hiç masrafsız sertifika veriyor. Şimdiye dek TLS‘e geçişin en sıkıntılı ve masraflı kısmı olan sertifika sorununu çözen Let’s Encrypt, yazılım aracılığıyla çevrimiçi şekilde sertifika talep eden sunucuların site üzerindeki haklarını (yine çevrimiçi biçimde) kanıtlamaları sonucu “Alan Doğrulamalı” Sertifika (Domain-validation) oluşturup imzalayarak siteye ulaştırıyorlar.
Web sertifikaları üç değişik güvenlik derecesiyle verilebiliyor. Alan Doğrulamalı sertifika, verildiği alan adının verildiği kişiye ait olduğunun kanıtlanmasıyla verilebiliyor. “Organizasyon Doğrulamalı” sertifikalar ise verildikleri organizasyonun tüzel kişiliğinin kanıtlanmasını zorunlu koşuyor. “Genişletilmiş” sertifikalar, verildikleri organizasyonun önemli belgelerinin müfettişler tarafından gözden geçirilmesini de içeriyor. “Encrypt the Web” projesinin gereksinimleri açısından bunların en düşük güvenlikli olanları yeterli bir gelişim sağlıyor. Bu düzeyde sertifika insan müdahalesini zorunlu kılmadığı için otomatik verilebiliyor ve her türlü küçük web sitesinin dahi zahmetsizce sertifikasyonunu sağlıyor.
Geçtiğimiz ay beta sürecini de geride bırakıp kullanıma giren Let’s Encrypt sertifika otoritesi web güvenliğinde yeni bir çağ başlattı sayılır.